Protocol Thuis- en telewerken
Handboek Integrale Beveiliging rechtspraak Bijlagen Informatiebeveiliging Omgaan met informatie Thuis- en telewerken Versie 1.1 Datum
18 juni 2009
Boek Deel Hoofdstuk Protocol Pagina
3 5 2 4 2/8
Inhoudsopgave 1 2 3 4
Algemeen Toestemming Transport van vertrouwelijke informatie Thuissituatie 4.1 Spelregels voor het gebruik van JEP 5 Communicatie Appendix: Wettelijke bepalingen
4 4 4 5 5 6 7
Handboek Integrale Beveiliging rechtspraak Bijlagen Informatiebeveiliging Omgaan met informatie Thuis- en telewerken Versie 1.1 Datum
18 juni 2009
Boek Deel Hoofdstuk Protocol Pagina
3 5 2 4 3/8
Doelstelling: Dit protocol is bedoeld om de risico’s die de organisatie loopt wanneer door haar medewerkers thuis wordt gewerkt, te minimaliseren. U moet zich altijd bewust zijn dat de rechtspraak ervoor moet zorgen dat de volgende aspecten van informatiebeveiliging worden gegarandeerd: Beschikbaarheid: het zekerstellen dat informatie en essentiële diensten op de juiste momenten en plaats beschikbaar zijn voor gerechtigde gebruikers. Vertrouwelijkheid: het beschermen van (gevoelige) informatie tegen ongeautoriseerde kennisname. Integriteit: het waarborgen van de correctheid en de volledigheid van informatie, programmatuur, communicatie-, opslag- en verwerkingsapparatuur. Verantwoordingsplicht (accountability): het achteraf kunnen verantwoorden van handelingen op, of met, toegangsrechten, gegevens, programmatuur, beveiliging, etc. Daarin hebt ook u als medewerker, zowel op de werkplek als in de thuissituatie, een verantwoordelijkheid. Specifiek voor de aandachtsgebieden in de thuissituatie is dit protocol opgesteld.
Handboek Integrale Beveiliging rechtspraak Bijlagen Informatiebeveiliging Omgaan met informatie Thuis- en telewerken Versie 1.1 Datum
1
18 juni 2009
Boek Deel Hoofdstuk Protocol Pagina
3 5 2 4 4/8
Algemeen
In dit protocol worden algemene regels gegeven voor het thuis- en telewerken ten behoeve van de rechtspraak. Onder thuiswerken wordt verstaan: het op incidentele basis op het woonadres van de betrokken medewerker werken ten behoeve van het vervaardigen van documenten en producten voor de rechtspraak. Onder telewerken wordt verstaan: het volgens formele overeenkomst geregeld gebruik maken van een ander adres dan de vaste werkplek van de betrokken medewerker (bijv. het woonadres) voor het vervaardigen van nader bepaalde documenten of producten voor de rechtspraak, waarbij gebruik wordt gemaakt van informatie- en telecommunicatie-technologie. Voor ‘telewerken’ is een aantal wettelijke bepalingen van kracht. Zie de appendix voor nadere informatie hieromtrent. Voor ‘thuiswerken’ met een incidenteel karakter is dit niet het geval.
2
Toestemming
Thuis- en telewerken geschiedt slechts met uitdrukkelijke toestemming van de leidinggevende. Uw leidinggevende is dan ook altijd op de hoogte wanneer u thuis werkt en met welke informatie. Indien u toestemming heeft om thuis te werken, wordt van u verwacht dat u dit protocol naleeft.
3
Transport van vertrouwelijke informatie
Met het meenemen van vertrouwelijke informatie (dossiers, beleids- en strategische informatie, et cetera) buiten de werkplek draagt u ook de volledige verantwoordelijkheid voor deze informatie. Tijdens het transport van vertrouwelijke informatie van het werk naar huis (en vice versa) worden risico’s gelopen. Met de volgende maatregelen worden deze risico’s beperkt. Maatregel Registreer op de afdeling de vertrouwelijke informatie die wordt meegenomen. Neem de vertrouwelijke informatie mee in een geschikt transportmiddel. Vervoer vertrouwelijke informatie in een auto bij voorkeur in een afgesloten kofferbak. Zorg ervoor dat de vertrouwelijke informatie die u bij u heeft of waar u desnoods over spreekt niet voor derden beschikbaar komt. Denk hierbij ook aan werken tijdens het reizen per openbaar vervoer. Ga rechtstreeks van het werk naar huis (of van huis naar het werk) wanneer vertrouwelijke informatie wordt meegenomen.
Toelichting Binnen de afdeling moet duidelijk zijn waar vertrouwelijke informatie te vinden is. Voor buitenstaanders mag niet direct zichtbaar zijn dat het om vertrouwelijke informatie gaat. De kans op diefstal wordt hiermee geringer. Voorkomen wordt dat derden (per ongeluk) de stukken in kunnen zien of delen van gesprekken opvangen.
Op deze manier is de kans op verlies of verminking van vertrouwelijke informatie geringer.
Handboek Integrale Beveiliging rechtspraak Bijlagen Informatiebeveiliging Omgaan met informatie Thuis- en telewerken Versie 1.1 Datum
4
18 juni 2009
Boek Deel Hoofdstuk Protocol Pagina
3 5 2 4 5/8
Thuissituatie
Thuis- en telewerken is slechts toegestaan als u beschikt over voorzieningen om de informatie veilig te verwerken of op te slaan, bijvoorbeeld een afsluitbare kast of een verankerde inbraakwerende kluis. Het is te allen tijde, maar zeker ook in de thuissituatie, belangrijk dat u zorgvuldig omgaat met de informatie en de kans op verlies, verminking of diefstal minimaliseert. Maatregel Spreek met eventuele huisgenoten af waar u de zaken van het werk opbergt en geef aan dat dat voor huisgenoten ‘verboden terrein’ is. Berg de informatie op als u er niet mee aan het werk bent.
Zorg ervoor dat u en uw eventuele huisgenoten ramen en deuren sluiten bij het verlaten van het huis. Minimaliseer de inkijk vanaf de straat als u aan het werk bent.
Toelichting U wordt geacht zorgvuldig met de stukken om te gaan Op deze manier maakt u uw huisgenoten bewust van uw en hun verantwoordelijkheid daarin. Huisgenoten of (ongewenste) bezoekers hebben op deze wijze niet direct toegang tot de informatie. U nodigt ze als het ware niet uit om er kennis van te nemen. Kwaadwillenden krijgen hierdoor niet zomaar toegang tot uw huis. Voorkom dat derden (ongewild) de situatie kunnen observeren of inzage hebben in de informatie of uw werkruimte.
U dient zich ervan bewust te zijn dat er altijd risico’s zijn bij het verwerken van gegevens op een PC, eventueel in combinatie met Internet en e-mail (bijvoorbeeld diefstal, verminking of misbruik van gegevens). Kwaadwillenden kunnen, ondanks allerlei maatregelen, alsnog toegang verkrijgen tot gegevens. Bij elektronisch thuis- en telewerken wordt (zoveel mogelijk) gebruik gemaakt van de voorzieningen die door de rechtspraak worden aangeboden, zoals JEP, beveiligde USB-sticks en eventueel beschikbaar gestelde PC’s of laptops. Indien u voor het thuis- of telewerken gebruik moet maken van een thuis-pc, zorg er dan voor dat deze voldoende is beveiligd met behulp van de meest recente versies van o.a. virusscanners en firewall programmatuur. Informeer zo nodig bij de integrale beveiligingsfunctionaris hoe u uw thuis-PC het beste kunt beveiligen.
4.1 •
•
• •
Spelregels voor het gebruik van JEP Het is vanuit de telewerk-omgeving (JEP/Citrix) niet mogelijk om informatie thuis uit te printen en/of op te slaan op de thuis-PC. Als er met JEP wordt gewerkt logt men in op het netwerk van Justitie en verlaat de informatie het beveiligde gebied niet. In die zin is het veiliger dan stukken naar huis mailen of fysiek meenemen als een papieren dossier in een tas of op een schijfje. De medewerker wordt geacht de meest recente servicepacks en beveiligingspatches op de thuisPC te installeren (bijvoorbeeld via automatische updates). JEP gaat over Internet en dat brengt risico’s met zich mee. Het risico ligt niet zozeer in de verbinding op zichzelf, maar in het feit dat de Internet-PC “open” kan staan voor andere indringers. De medewerker realiseert zich dat met het verkrijgen van de JEP toegang niet het recht wordt verkregen op thuiswerken of voorzieningen in de sfeer van vergoedingen, meubilair en/of apparatuur. De medewerker wordt geacht zelf de toegang tot internet te regelen en betalen.
Handboek Integrale Beveiliging rechtspraak Bijlagen Informatiebeveiliging Omgaan met informatie Thuis- en telewerken Versie 1.1 Datum
5
18 juni 2009
Boek Deel Hoofdstuk Protocol Pagina
3 5 2 4 6/8
Communicatie
Tijdens het thuis- of telewerken kan er behoefte bestaan om contact te hebben met het werk. Dit contact zal bijvoorbeeld door middel van e-mail, de telefoon (vast of mobiel) of fax plaatsvinden. Wees u ervan bewust dat de communicatie via vaste telefoonlijnen of het mobiele netwerk altijd afluisterbaar is of valt te onderscheppen. Dit kan bewust gebeuren (door hackers, via scanner of afluisterapparatuur) maar ook onbewust, bijvoorbeeld wanneer telefoonsignalen worden opgevangen door een babyfoon. Vermijd het noemen van namen of exacte adressen in communicatie met of over het werk. Vertrouwelijke informatie mag nooit zonder versleuteling (Private Crypto) gemaild worden van huis naar het werk of andersom.
Handboek Integrale Beveiliging rechtspraak Bijlagen Informatiebeveiliging Omgaan met informatie Thuis- en telewerken Versie 1.1 Datum
18 juni 2009
Boek Deel Hoofdstuk Protocol Pagina
3 5 2 4 7/8
Appendix: Wettelijke bepalingen 1.
Arbeidsomstandighedenwetgeving
De Arbeidsomstandighedenwetgeving kent het begrip telewerken niet. Wel bestaat er een definitie van thuiswerkgever (Artikel 1.1, vijfde lid, onder d, van het Arbeidsomstandighedenbesluit): 1. de werkgever, bedoeld in artikel 1, tweede lid, onderdeel a, onder 1, van de wet, voor zover hij een ander in een woning arbeid arbeid doedt verichten; 2. de werkgever, bedoeld in artikel 1, tweede lid, onderdeel a, onder 2, van de wet, voor zover hij in het kader van de uitoefening van beroep of bedrijf een ander krachtens een overeenkomst tot aanneming of krachtens een overeenkomst van opdracht arbeid doet verrichten, tenzij die ander zelfstandig een beroep of bedrijf uitoefent waarin hij zich in de regel ook tegenover derden tot het verrichten van dergelijke arbeid verplicht. In de Arbeidsomstandighedenwetgeving zijn een aantal verplichtingen voor de thuiswerkgever opgenomen: • Artikel 1.43 tot en met 1.46 van het Arbeidsomstandighedenbesluit • Artikel 2,45 van het Arbeidsomstandighedenbesluit • Artile 4.110 tot en met 4.115 van het Arbeidsomstandighedenbesluit • Artikel 5.14 en 5.15 van het Arbeidsomstandighedenbesluit • Artikel 6.30 van het Arbeidsomstandighedenbesluit • Artikel 7.40 en 7.41 van het Arbeidsomstandighedenbesluit • Artikel 8.15 van het Arbeidsomstandighedenbesluit • Hoofdstuk 5 van de Arboregeling • Beleidsregel 5.11
2.
Raamregeling Telewerken
Op grond van artikel 67 van het ARAR heeft het Ministerie van Binnenlandse zaken en Koninkrijksrelaties een interdepartementale raamregeling telewerken uitgevaardigd. De raamregeling maakt een onderscheid tussen medewerkers die uit hoofde van hun functie verplicht zijn te telewerken en de medewerker die op vrijwillige basis een of meer dager per week telewerkt. Wie op vrijwillige basis wil telewerken kan bij het bevoegd gezag een aanvraag indienen. Het bevoegd gezag wijst de aanvraag toe, indien het belang van de dienst daarbij is gebaat. Bij de beslissing dient het bevoegd gezag in ieder geval rekening te houden met: • het gegeven of betrokken functie zich leent voor telewerken; • de financiële consequenties van telewerken voor de werkgever; • de effecten van telewerken op de kwaliteit en kwantiteit van het afgeleverde werk; • de invloed van telewerken op de continuïteit van de organisatie; • de invloed van telewerken op de motivatie van het personeel; • de persoonskenmerken van de betrokken medewerker; • privacy- en beveiligingsaspecten.
Handboek Integrale Beveiliging rechtspraak Bijlagen Informatiebeveiliging Omgaan met informatie Thuis- en telewerken Versie 1.1 Datum
18 juni 2009
Boek Deel Hoofdstuk Protocol Pagina
Met de betrokken telewerker worden afspraken gemaakt, die in ieder geval betrekking hebben op: • wettelijke vereisten in verband met arbeidsomstandigheden; • de bereikbaarheid van de betrokkene; • de wijze van terugkoppeling met de organisatie; • de te verrichten werkzaamheden; • de aan betrokkene te verlenen telewerkvoorzieningen; • de wijze waarop de telewerkvoorzieningen worden verleend; • de periode waarin betrokkene telewerkt; • het aantal dagen per week en de dagen waarop betrokkene telewerkt; • de wijze van en de gronden voor beëindiging van het telewerken; • de gevolgen die beëindiging heeft voor de verleende telewerkvoorzieningen; • informatiebeveiliging; • privacy-aspecten. De raamregeling geeft aan dat de voorzieningen kunnen zijn: • een computer en bijbehorende noodzakelijke apparatuur; • de inrichting van de werkruimte; • een fax; • een mobiele telefoon; • de aanleg van een extra telefoonlijn; • een volledige vergoeding van alle voor de dienst gemaakte telefoonkosten; • een volledige vergoeding van alle voor de dienst gemaakte internetkosten; • een vergoeding van de kosten voor gebruik van een privé-ruimte.
3 5 2 4 8/8